Архив метки: Vulristics

Про январский Linux Patch Wednesday

Про январский Linux Patch Wednesday

Про январский Linux Patch Wednesday. Основная сложность в распределении CVE-шек по месяцам для LPW это поймать момент, когда CVE-шку первый раз запатчили. Обычно первыми это делают Debian. Но вот беда - в Debian OVAL зачастую отсутствует дата, когда именно это произошло (дата публикации дефинишена). 😑

Продемонстрирую на примере. Генерю я вчера Linux Patch Wednesday отчёт за январь и вижу там UnRAR Arbitrary File Overwrite (CVE-2022-30333). Почему уязвимость 2022 года всплыла сейчас, в начале 2024? Потому, что её запатчили в Ubuntu на днях, 8 января. Причём фиксили не саму утилиту UnRAR, а стороннюю либу ClamAV для антивирусной проверки архивов. А раньше эту CVE не фиксил никто что ли? Ну, фиксили. Вот есть сообщение в листе рассылке Debian от 17 августа 2023. Тоже поздно, совсем не 2022 год, но всё-таки несколько раньше. Но в OVAL-контенте Debian этой даты, 17 августа 2023, не было. И поэтому попала CVE-шка из 2022 года в 2024, т.к. самая ранняя (и единственная) дата, которая была в OVAL-контентах Linux вендоров для этой уязвимости это была дата запоздалого фикса в Ubuntu. 🤷‍♂️

В общем, OVAL хорошо и универсально, но, к сожалению, не панацея. Удивительно, но там тоже бардак, на который всем пофигу. 😏

Пришлось вчера спешно научиться парсить архивы листа рассылки с бюллетенями безопасности Debian. В итоге список уязвимостей стал поадекватнее. В частности, CVE-2022-30333 ушла в LPW для сентября 2023. Аналогично можно и работу с другими листами рассылки построить, например с Suse.

С Suse, кстати, забавно. У них есть OVAL контент, но он отдаётся только по FTP и нереально медленно, как на dial-up модеме. Причём, не только для России режут скорость (как можно было бы предположить). Вовсе нет, проблема общая.

Отчёт Vulristics выпустил:

🗒 Январский LPW

С детектами можно (и нужно) ещё поиграться, но в целом выглядит норм. 🙂

81 уязвимость.

🔻 Из них самая критичная это RCE в модуле Perl Spreadsheet::ParseExcel (CVE-2023-7101). Эта уязвимость используется вживую и есть в CISA KEV.

Из того, для чего ещё есть ссылки на эксплоиты (ссылки из NVD - требуется верификация):

🔸 Denial of Service - Asterisk (CVE-2023-49786)
🔸 Security Feature Bypass - Python (CVE-2023-27043)
🔸 Memory Corruption - Linux Kernel (CVE-2023-6606)
🔸 Memory Corruption - libde265 (CVE-2023-49465, CVE-2023-49467, CVE-2023-49468) - реализация видео-кодека h.265
🔸 Security Feature Bypass - twisted (CVE-2023-46137)
🔸 Memory Corruption - sqlite (CVE-2023-7104)
🔸 Denial of Service - w3m (CVE-2023-4255)
🔸 Incorrect Calculation - QEMU (CVE-2023-42467)
🔸 Memory Corruption - QEMU (CVE-2023-40360)
🔸 Memory Corruption - cJSON (CVE-2023-50471) - парсер JSON на C
🔸 Browser tab titles were being leaked - Mozilla Firefox (CVE-2023-6872)
🔸 Security Feature Bypass - sqlite (CVE-2022-46908)

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

Прожектор по ИБ, выпуск №18 (13.01.2024): Герои Оземпика in-the-middle

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

Первый выпуск в новом году, накопилось много новостей. 🙂

00:00 Здороваемся, обсуждаем новый ноутбук Льва без камеры, радуемся относительно большому количеству просмотров прошлого выпуска
03:10 Внезапно про обновление Heroes III с новыми замками
05:15 Несколько минут здорового самопиара. Говорим про видео-проекты: Ответь за 5 секундпоследнем я участвовал), ИИ несёт бред, Собираем карьеру
09:20 Закладка в прошивке светодиодной гирлянды
13:04 NVD включили заднюю в вопросе отключения СVЕ-фидов
15:39 Итоги 2023 года от Qualys Threat Research Unit
21:47 Январский Microsoft Patch Tuesday и MitM
29:14 Июньская Authentication Bypass уязвимость Sharepoint (CVE-2023-29357) в активной эксплуатации; конкурс: на что заменить Sharepoint?
32:15 Cisco исправили критичную Arbitrary File Upload / RCE уязвимость в Unity Connection (CVE-2024-20272); конкурс: на что заменить CUC?
37:45 Атаки на Ivanti Connect Secure / lvanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023-46805, CVE-2024-21887)
41:06 Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028); конкурс стихов 😅
44:10 ИС Антифишинг от Минцифры
45:38 Всемирный совет церквей (WCC) был атакован вымогателями
48:50 МВД России предупреждает о новых способах мошенничества
50:24 Цукерберг берет деньги за отказ от сбора и использования личных данных под целевую рекламу
51:29 Почти 170 случаев утечек персональных данных россиян зафиксированы в 2023 году
54:41 Прощание от Mr.X про Оземпик

Январский Microsoft Patch Tuesday

Январский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch TuesdayЯнварский Microsoft Patch Tuesday

Январский Microsoft Patch Tuesday. Всего-то 49 уязвимостей и ещё 13 набежало с декабрьского.

В ТОПе опять странное.
🔻 Самая критичная - Buffer Overflow в Chromium (CVE-2023-7024), т.к. эксплуатируется вживую.
🔻 Затем Array-bounds Overflow в SQLite (CVE-2022-35737), т.к. есть подробное описание, которое NVD классифицирует как эксплоит. 🤷‍♂️

Остальное без признаков эксплуатации вживую и эксплоитов. Из занимательного:

🔸 RCE - Microsoft Office (CVE-2024-20677). В Preview Pane не эксплуатируется.
🔸 Security Feature Bypass - Windows Kerberos (CVE-2024-20674). Злоумышленник сможет MitM делать. (лол, а они теперь реально все "man-in-the-middle" как "machine-in-the-middle" расшифровывают 😅)
🔸 RCE - Microsoft SharePoint Server (CVE-2024-21318). Требуется Site Owner.
🔸 RCE - Windows Hyper-V (CVE-2024-20700). Вряд ли будет активно эксплуатироваться "requires an attacker to win a race condition".
🔸 Пачка EoP: Windows Kernel (CVE-2024-20698), Windows Win32k (CVE-2024-20683, CVE-2024-20686), Windows Cloud Files Mini Filter Driver (CVE-2024-21310), Microsoft Common Log File System (CVE-2024-20653)

🗒 Vulristics report

Добрался наконец до итогов 2023 года от Qualys Threat Research Unit

Добрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research UnitДобрался наконец до итогов 2023 года от Qualys Threat Research Unit

Добрался наконец до итогов 2023 года от Qualys Threat Research Unit. Пост вышел 19 декабря и обновлен в последний раз 4 января.

1. Основная группа уязвимостей, о которой они рассказывают это "уязвимости с высоким риском и боевым (weaponized) эксплоитом". Таких уязвимостей они выделили в 2023 году 206.
🔹 Подчеркивают, что количество таких уязвимостей значительно меньше количества уязвимостей с PoC-ом (7033) и тем более общего количества CVE уязвимостей (26447).
🔹 Подчеркивают, что только примерно половина (109) таких уязвимостей была в CISA KEV. На другие 97 тоже необходимо обращать внимание. Причина понятна: тормоза в CISA KEV.
🔹 Утверждают, что 25% таких уязвимостей начали эксплуатировать вживую в первый день, а 75% за 19 дней. Поэтому фиксить такие уязвимости нужно не быстро, а очень быстро.

2. Все эти 206 уязвимостей не выкладывают. Поэтому к полноте или избыточности списка не прикопаешься. 😉
🔹 Указывают тот же ТОП-10 уязвимостей, что и в конце сентября:

CVE-2023-0669
CVE-2023-20887
CVE-2023-22952
CVE-2023-23397
CVE-2023-24880
CVE-2023-27350
CVE-2023-28252
CVE-2023-2868
CVE-2023-29059
CVE-2023-34362

Добавив к ним ещё 2:

CVE-2023-0699
CVE-2023-35036

Учитывая, что CVE-2023-0699 упоминается в контексте использования группировкой LockBit, а LockBit как раз использовали CVE-2023-0669, то выглядит это как ошибка-опечатка, но судить не берусь. 😉
🔹 Для уязвимостей указывают группы софтов:

Operating System (57)
Networking Infrastructure (40)
Other (23)
Continuous Integration Software (16)
Desktop Application (13)
Enterprise Software (10)
Web Browser (8)
Management Software (7)
Content Management System (5)

🔹 Также указывают типы уязвимостей:

Security Feature Bypass
Remote Code Execution
Privilege Escalation
Input Validation and Parsing
Buffer Manipulation

Количество уязвимостей каждого типа можно оценить только по графику: 60 RCE-шек, остальных типов от 14 до 20.

3. Также они смапили эти 206 уязвимостей на MITRE ATT&CK Tactics & Techniques.

Exploitation of Remote Services T1210 (Enterprise)
Exploitation of Remote Services T0866 (ICS)
Exploit Public Facing Application T1190 (Enterprise)
Exploit Public Facing Application T0819 (ICS)
Exploitation for Privilege Escalation T1068/T1404 (Enterprise/Mobile)
Other T1499.004, T1133, T1189, T0890, T1204.001, T1428, T1203

Получили, что 70% касаются так или иначе эксплуатации сервисов (T1210, T0866, T1190, T0819). Ещё 12% подъема привилегий (T1068/T1404).

4. Основные тезисы в статье:
🔹 исправляйте критичные эксплуатабельные уязвимости как можно быстрее
🔹 детектируйте уязвимости не только на хостах с агентами, но также используйте активное сканирование и анализ трафика
🔹 используйте продвинутые способы приоритизации уязвимостей на нейронках (Qualys TruRisk), а если денег нет, то учитывайте CISA KEV, EPSS и наличие эксплоита

Анализ уязвимостей с помощью Vulristics

К сожалению, 206 заветных уязвимостей не показали, поэтому анализировать толком нечего. 🤷‍♂️ Но по 12 указанным CVE-шкам я выпустил отчёт Vulristics:

🗒 Qualys 2023 Threat Landscape Year in Review 12 CVEs

Похожи эти уязвимости на самые ТОП-овые уязвимости 2023 года?

Если говорить применительно к России, то лишь в самой небольшой части. Потому что в наших широтах PaperCut NG, GoAnywhere MFT, MOVEit Transfer, Barracuda ESG и SugarCRM распространены не особо. Но это имхо. 🙂

Детект типа уязвимости по CWE в Vulristics

Детект типа уязвимости по CWE в Vulristics

Детект типа уязвимости по CWE в Vulristics. Теперь Vulristics может детектировать тип уязвимости не только по ключевым словам (выражениям), но и по CWE идентификаторам из NVD. Для каждого типа уязвимости в Vulristics можно указать набор соответствующих CWE идентификаторов. Некоторые CWE идентификаторы я уже таким образом смапил на типы уязвимостей Vulristics. Но, разумеется, не все. Всего CWE идентификаторов больше 600! Буду добавлять их по мере необходимости.

Кроме того, я сделал следующие изменения в детектах типов уязвимостей в Vulristics:

🔹 Добавил новый тип уязвимости Incorrect Calculation для массовых некритичных уязвимостей, которые не связаны с памятью (и поэтому не попадают в Memory Corruption). Например, "Divide By Zero" или "Integer Overflow". Фактически такие уязвимости являются просто багами, т.к. из описания непонятно как злоумышленник может их эксплуатировать. Если они приводят к падению приложения или к RCE, то почему бы про это не написать? А если не приводят, то в чём тогда беда? Как по мне, лучше бы для таких проблем вообще не заводили CVE. Но по факту их заводят. И особенно часто для Linux. Поэтому и детектировать тип для таких "уязвимостей" приходится. Теперь они будут валиться в Incorrect Calculation с относительно невысокой критичностью (такой же как у Memory Corruption).
🔹 Меня начали подбешивать Path Traversal уязвимости, которые по факту дают злоумышленнику возможность читать и писать произвольные файлы. 🤷‍♂️ Поэтому для таких уязвимостей буду использовать типы Arbitrary File Reading (уже была) и Arbitrary File Writing (новая).
🔹 Подкрутил веса для типов уязвимостей. Логика такая: чем более конкретен тип и чем более понятно как этот тип уязвимости может использоваться злоумышленником, тем больше вес. Но вещь это, конечно, крайне субъективная и я её, скорее всего, буду подкручивать ещё много раз. В моменте выглядит так:

Remote Code Execution 1.0
Code Injection 0.97
XXE Injection 0.97
Command Injection 0.97
Authentication Bypass 0.95
Arbitrary File Writing 0.95
Security Feature Bypass 0.90
Elevation of Privilege 0.85
Information Disclosure 0.83
Arbitrary File Reading 0.83
Cross Site Scripting 0.8
Open Redirect 0.75
Path Traversal 0.7
Denial of Service 0.7
Memory Corruption 0.5
Incorrect Calculation 0.5
Spoofing 0.4
Tampering 0.3
Unknown Vulnerability Type 0

Сейчас кажется, что XSS и Open Redirect низковаты. Но, с другой стороны, они в большей степени на социалку завязаны, так что может и норм. 🤔 В любом случае, тип уязвимости хоть и влияет достаточно сильно на итоговую критичность, но в меньшей степени чем наличие эксплоита и признак эксплуатации вживую.

Кроме детектирования типа уязвимости по CWE, я также оптимизировал сочетание детектирования имени уязвимого продукта по CPE и по ключевым словам (выражениям). Если кратко, то сначала приоритет отдается имени продукта непосредственно заданному в источнике данных, затем имени продукта определенному эвристически из шаблонного описания (для Microsoft), затем имени продукта определенному по ключевым словам (выражениям), затем имени продукта определенному по идентификаторам CPE. В CPE-детектах отдаём наивысший приоритет первому идентификатору типа a (application), если его нет, то h (hardware), если и его нет, то о (operating system).

Для демонстрации я перегенерил последние Linux Patch Wednesday отчёты:

🗒 Ноябрьский LPW
🗒 Декабрьский LPW

Довёл их практически до идеального состояния. Название продукта и тип уязвимости НЕ детектируются только для заглушек "This candidate has been reserved…" и уязвимостей с таким странным описанием, что даже ручной их разбор весьма затруднен.

В общем, праздничные дни прошли весьма плодотворно, доволен. 😇

Про итоги 2023 года

Про итоги 2023 года

Про итоги 2023 года. Для меня год был отличный, грех жаловаться. 😇 Жив, чувствую себя неплохо. С близкими тоже хорошо. Хвала Создателю за всё!

Делал довольно много интересных штук. Что-то в итоге получилось, что-то нет. Но это не беда, на следующем подходе получится. А если не получится, то тоже не беда. 🙂

Из того, что можно отметить:

1. Поменял одну основную работу (очень хорошую) на другую (даже ещё лучше). 3 месяца отработал, полёт нормальный.

2. Начал больше музицировать и даже изредка что-то выкладывать. 😊 Сидеть с укулелькой и напевать понравившиеся стихи это, наверное самое приятное занятие для меня сейчас. И результаты записи мне, несмотря на все очевидные огрехи, нравятся.

3. "Прожектор по ИБ" запустили с Львом и Максимом. Вообще не предполагал, что такое в моей жизни будет, однако уже 18 эпизодов (вместе с пилотным) записали. И всё ещё весело этим заниматься. На праздники прервёмся, а дальше, надеюсь, продолжим.

4. Vulristics хорошо продвинулся: нормальный импорт и экспорт данных, кастомный источник данных, улучшенные и быстрые детекты софта. Прям полноценный инструмент стал! Также в части кодяканья доволен Linux Patch Wednesday и экспортером в avleonov.ru. Карта VM-вендоров была не про кодяканье, но тоже здесь отмечу.

5. Telegram-канал @avleonovrus неплохо так подрос! К июлю он догнал и перегнал мой англоязычный (некогда основной, а теперь подзаброшенный) канал @avleonovcom на отметке 1741 подписчик. А к концу года ещё удвоился до 3482. 🤩 Круто! Спасибо, что читаете, лайкаете и шарите!

На следующий год ничего планировать и загадывать не буду. Пусть будет как будет. 🙂

Закончил обучение на курсе "Управление Уязвимостями" от Inseca

Закончил обучение на курсе Управление Уязвимостями от Inseca

Закончил обучение на курсе "Управление Уязвимостями" от Inseca. В целом, ожидания оправдались. 🙂 Опишу то, что понравилось и то, что можно было бы улучшить.

1. Практические домашние работы. 👍 Их было 11 штук. С учётом того, что курс шёл 6 недель, получалось в среднем 2 работы в неделю. Они рассчитаны max на 1-2 часа, так что делать по вечерам было комфортно.

Большая часть домашних работ строилась вокруг 3 стендов в VirtualBox:

🔻 Виртуалка с Kali на которую нужно было поставить Nessus Essentials
🔻 Виртуалка с необновлённым Windows уязвимая к EternalBlue
🔻 Виртуалка с необновлённой Ubuntu и развёрнутым DWVA

Работы были такие:

🔹 Развернём сканер уязвимостей
🔹 Проэксплотируем EternalBlue с помощью Metasploit, забёрем хэши и побрутим их
🔹 Посканим виртуалки в режиме "чёрного ящика"
🔹 Настроем учётки на виртуалках и посканируем их с аутентификацией
🔹 Посканим DVWA Nessus-ом и Acunetix-ом и посмотрим разницу
🔹 Выгрузим уязвимости из Nessus через API, обогатим отчёты данными по эксплоитам и активной эксплуатации
🔹 Пофиксим уязвимости через обновление или отключение уязвимых сервисов, проверим, что они не детектируются или не эксплуатируются

Ещё 2 работы не были завязаны на стенды. В одной нужно было составить CVSS Base Vector-ы по описаниям уязвимостей. В другой нужно было по версии софта найти уязвимости (поиск по CPE), а затем выделить для них эксплуатабельные (эта задачка хорошо решалась с помощью Vulristics 😉).

➡️ Вопрос: можно ли проделать такие учебные активности самостоятельно? Конечно. Но это искать надо, а тут уже готовые стенды, подробно описанные методички (кроме подзадачек со звёздочкой), проверка преподавателем. Сервис. 🙂

Как видно из описания работ, упор на практическое детектирование, приоритизацию и исправление уязвимостей. Без привязки к решениям VM-вендоров.

2. Вебинары-семинары. 👍 Их было 5 штук. Проходили по субботам в 12:00. Длительность около 1,5 часов. Дмитрий Топорков рассказывал нам какую-то тему, касающуюся текущего модуля и в процессе можно было задавать вопросы, дискутировать, обмениваться опытом. Один вебинар был с Давидом Ордяном из Metascan, я о нём уже писал подробнее. Получалось лампово, посещал эти онлайн-созвоны с удовольствием.

3. Тьюторство. 👍 Каждую неделю в телегу скидывали табель с принятыми заданиями и посещёнными вебинарами. При открытии модуля скидывали оповещение с темой модуля и количеством домашек. За три дня до дедлайна оповещение, что надо домашку сдавать. Оповещения о вебинарах за день и за час. Вроде мелочи, а забота приятна. 😇 Ну и Дмитрий очень оперативно домашки проверял. 🔥

4. Контент. 👌 Большая часть контента - текст. Скринкасты в основном были доп. материалом для практических занятий. Я к текстовому контенту хорошо отношусь, т.к. его удобнее быстро просматривать. Тексты качественные. Не скажу, что по содержанию для меня были какие-то откровения, но лишний раз перечитать было прикольно. Тем, кто видит подобный контент в первый раз, должно быть интересно. Порог входа небольшой, всё разжёвывается подробно.

5. Что улучшить? 🤔 Исходя из концепции, что это базовый вендерно-нейтральный курс с фокусом на низкоуровневую работу с уязвимостями напрашивается следующее:

🔹 Добавить лабу для работу с опенсурсным решением, на котором можно построить процесс управления уязвимостями, например, Faraday Security или DefectDojo
🔹 Выделить больше времени на разбор веб-уязвимостей DVWA
🔹 Добавить про анализ безопасности конфигураций, например с помощью OpenSCAP

В целом, неплохо бы дать более цельное представление как строить VM-процесс в организации с использованием конкретных тулов. Но как курс для старта вполне норм. 👍

Спасибо коллегам из Inseca за предоставленный доступ к курсу!

PS: Также мне подарили термокружку Inseca. 😅 Я в одном из Прожекторов отмечал, что термокружки очень уж часто дарят. Но эта кружка прям норм. 🔥 Добротная, прорезиненная где надо, без каких-то ненужных наворотов. Вещь! Передаривать не буду, оставлю себе. За кружку тоже спасибо! 🙂